VILLA MARIEVILLE
POLITIQUE DE PROTECTION DES
RENSEIGNEMENTS PERSONNELS
Version:
2.0
Date de version
2025/04/23
Créé
Guy Caron
Politique de confidentialité
La protection de la vie privée est importante pour la VILLA MARIEVILLE (ci-après « La Résidence », « nous », « notre »). Pour cette raison, nous avons mis en place des mesures de protection et des pratiques de saine gestion de vos renseignements personnels conformément aux lois applicables, notamment la Loi 25.
La présente politique de confidentialité (la « Politique »), qui doit être lue conjointement avec les conditions d’utilisation du site web et les ententes de Services conclues avec la Résidence, décrit nos pratiques en matière de collecte, d'utilisation, de traitement, de communication et de conservation des Renseignements personnels de nos clients, visiteurs et utilisateurs.
En utilisant notre site web www.villamarieville.com (le « Site web ») ou en transigeant par des moyens technologiques avez nous, vous déclarez avoir pris connaissance et avoir accepté la présente Politique de confidentialité et donc, vous acceptez que nous puissions recueillir, utiliser, traiter, divulguer et conserver vos Renseignements personnels conformément aux conditions décrites aux présentes. Si vous n'acceptez pas de respecter et d'être lié par la présente Politique, vous n’êtes pas autorisé à visiter, accéder ou utiliser notre Site web, ni à partager vos Renseignements personnels par des moyens technologiques avec nous.
Nous nous engageons à prendre les précautions raisonnables requises pour protéger les renseignements personnels récolté contre la perte, le vol, la divulgation ou l’utilisation non-autorisée.
Cette Politique ne s’applique pas aux Renseignements personnels des employés, des représentants et des consultants de la Résidence, ou à toute autre personne affiliée à la Résidence, ainsi qu’à toute information qui ne constitue pas un renseignement personnel tel que défini par la loi applicable.
But de cette Politique
Cette Politique vous indique quels renseignements personnels nous recueillons par un moyen technologique, comment nous les traitons, et quand nous avons besoin de les communiquer à des sous-traitants ou des tiers.
Le terme « renseignements personnels » désigne toute information qui concerne une personne physique et qui révèle, de manière directe ou indirecte, quelque chose sur l’identité, les caractéristiques ou les activités de cette personne. Par exemple, il peut s’agir de votre nom, date de naissance, adresse de courriel personnelle, vos renseignements financiers ou vos numéros d’identification personnels.
Communiquez avec nous
Toute question, commentaire, demande, préoccupation, exercice d’un droit ou dépôt d‘une plainte portant sur la présente Politique de confidentialité doit être transmis à notre Responsable de la protection des renseignements personnels (RPRP) aux coordonnées suivantes :
Courriel : rprp.villamarieville@outlook.com
Poste : 1180, rue du Pont, Marieville (Québec) J3M 1H1
Consentement à la collecte des renseignements personnels
Pour la Résidence, le respect de votre privée et de la confidentialité de vos données est primordial. C‘est pourquoi cette politique de confidentialité vous indique quels renseignements nous recueillons par un moyen électronique et à quelles fins, les moyens utilisés pour la collecte, comment nous les traitons, et quand nous avons besoin de les communiquer à des sous-traitants ou des tiers, les mesures de confidentialité et de sécurité ainsi que vos droits en lien avec vos Renseignements personnels.
En nous fournissant les Renseignements personnels, vous autorisez la Résidence à procéder à la collecte et au traitement de vos renseignements personnels qui sont nécessaires pour vous offrir nos services. Sachez que vous demeurez maîtres en tout temps de vos Renseignements personnels et que vous pouvez refuser que nous collections des Renseignements personnels à votre sujet. Pour ce faire, il suffit de nous l’indiquer ou de nous le mentionner lorsque les Renseignements sont collectés sur papier, verbalement ou en présence d’un membre de notre personnel. Il vous est également possible de vous informer auprès de notre RPRP des Renseignements collectés par des moyens électroniques et de nous indiquer votre refus à la collecte. Il est alors possible que nous ne puissions pas vous servir.
Le consentement que vous nous donnez au moment de la collecte ou du traitement de vos renseignements personnels peut être retiré en tout temps. Nous nous assurerons de respecter votre choix conformément à nos obligations légales.
Dans le cadre de nos activités, nous collectons et utilisons des Renseignements personnels selon des moyens de collecte spécifiés tels que :
• Lors de navigation sur notre site Web;
• Lors de visites dans nos locaux;
• Lors d’interactions par médias sociaux, téléphone et par courriel;
Renseignements personnels recueillis
Dans le cadre de nos activités, nous pouvons collecter, traiter et utiliser différents types de renseignements personnels. Nous nous efforçons de limiter la collecte des renseignements personnels à ceux qui sont nécessaires pour vous offrir nos services ou qui sont permis par la loi.
Les renseignements personnels que nous recueillons incluent :
Via notre Site web et tous les moyens ou site électronique:
des coordonnées, tels votre nom et prénom, votre adresse courriel pour nous contacter via le formulaire en ligne;
des renseignements recueillis automatiquement lors de l’utilisation du Site web et de nos Services, incluant :
des renseignements de connexions et autres informations sur vos activités sur le Site web, comme votre adresse IP, les pages que vous avez consultées, l’heure et la date de vos visites, le type de navigateur que vous utilisez, le système d’exploitation de votre appareil et autres informations matérielles et logicielles;
des données de géolocalisation, comme votre adresse IP, une localisation précise ou approximative déterminée à partir de votre adresse IP ou du GPS de votre appareil mobile (selon les réglages de votre appareil);
Lors de vos interactions avec nous :
des coordonnées, tels votre nom et prénom, votre adresse courriel, votre numéro de téléphone, votre adresse pour la création d’un compte client;
des informations d’ordre fiscal, notamment votre revenu, votre numéro d’assurance sociale et d’autres informations concernant vos finances personnelles;
des renseignements relatifs à des produits ou services, tels les renseignements concernant les services que nous vous avons rendus;
des renseignements que vous choisissez de fournir ou de nous transmettre, par exemple, lorsque vous remplissez un formulaire, répondez à des sondages ou communiquez avec l’un de nos employés ou représentants.
des informations professionnelles ou relatives à l’emploi, comme votre curriculum vitae, votre lieu d’emploi, titres ou postes gouvernementaux, employeurs, entreprises détenues, salaire ou revenu de travail autonome ainsi que les renseignements à l’égard de vos antécédents criminels et d’autres informations que vous nous fournissez lorsque vous postulez pour un emploi;
Utilisation des renseignements personnels
De façon générale, nous utilisons vos renseignements personnels que pour les fins permises ou requises par la loi ou pour les fins suivantes :
offrir ou améliorer nos produits et services ou développer de nouveaux produis et services;
permettre de postuler pour un emploi, répondre à vos questions, recueillir des avis et commentaires ou vous fournir une assistance au besoin;
exploiter, maintenir, superviser, développer, améliorer et offrir toutes les fonctionnalités de notre Site web;
à des fins de vérifications de votre identité, de vos antécédents personnels, comme permis par la loi, ou pour respecter nos obligations en vertu des lois et règlements en vigueur;
envoyer des messages, des mises à jour, des alertes de sécurité ou transmettre des communications conformément à la loi;
administrer un concours, une promotion, un sondage ou une autre fonctionnalité du Site web ou de nos services;
effectuer des recherches et des analyses en lien avec notre entreprise et nos services;
détecter et prévenir les fraudes, erreurs, pourriels, abus, incidents de sécurité et autres activités préjudiciables;
constater, exercer ou défendre un droit ou une procédure en justice.
Nous respectons toujours les buts pour lesquels nous avons recueilli vos renseignements personnels. Si nous souhaitons utiliser ou communiquer vos renseignements personnels pour d’autres buts, nous vous demanderons votre consentement, sauf dans les cas permis par la loi.
Communication des renseignements personnels
Dans le cadre de nos activités, nous rendons accessibles vos renseignements personnels à nos employés, consultants ou mandataires dont les fonctions l’exigent.
Bien que nous tentions d’éviter de partager vos renseignements personnels avec des tiers, nous pouvons faire appel à des fournisseurs de services pour exécuter divers services pour notre compte, tels que la gestion et la sécurité informatique, le marketing, ainsi que l’analyse, l’hébergement et le stockage de données. Dans ces circonstances, nous ne fournissons que les renseignements personnels nécessaires à l’exécution de leur mandat et nous nous engageons à ce que les principes énoncés dans la présente Politique soient respectés.
De plus, ces fournisseurs de services nous offrent des garanties suffisantes quant à la mise en œuvre de mesures de protection adéquates de vos renseignements personnels traités ou communiqués avant que vos renseignements personnels ne leur soient communiqués. Lorsque nos fournisseurs de services n’ont plus besoin de vos renseignements personnels, nous leur demandons de détruire ces données de manière appropriée.
Les renseignements personnels que nous recueillons et conservons demeurent protégés et sont hébergés de manière sécuritaire sur des serveurs pouvant être situés à l’extérieur du Québec, notamment au Canada et aux États-Unis.
Nous pouvons également partager, transférer ou communiquer, en stricte conformité avec la présente Politique, vos renseignements personnels avec des tiers lorsque la loi l’exige ou dans le cadre d’une transaction commerciale visant la vente, le transfert ou la cession, en tout ou en partie, de la VILLA MARIEVILLE ou de nos actifs. Dans ce cas et advenant la concrétisation de la transaction commerciale, nous vous informerons avant que vos renseignements personnels ne soient régis par une autre politique de confidentialité.
Nous ne vendons pas, n’échangeons pas, ni ne communiquons autrement vos renseignements personnels à de tierces parties, sous réserve des exceptions prévues par la loi.
Communication de renseignements personnels en situation d’urgence
En vertu du droit applicable, la Résidence se réserve le droit de communiquer vos renseignements personnels afin de protéger une personne ou un groupe de personnes lorsqu’elle détermine qu’il y a un risque sérieux de mort ou de blessure grave.
La Résidence est également en droit de communiquer tout renseignement au Directeur des poursuites criminelles et pénales ou tout autre force de l’ordre lorsque la communication de ce(s) renseignement(s) est nécessaire relativement à toute infraction d’une loi applicable au Québec. De plus, la Résidence peut communiquer des renseignements personnels à un corps policier lorsque nécessaire pour exécuter une intervention adaptée à une personne ou une situation qui l’exige.
Dans tous les cas, avant de procéder à une telle divulgation, la Résidence s’assurera de communiquer avec le(s) membre(s) de son personnel qui ont soulevé la situation ainsi que son responsable de la protection des renseignements personnels et tout autre employé et/ou intervenant que la Résidence estime nécessaire afin de déterminer la nécessité d’une telle communication.
Conservation des renseignements personnels
Sous réserve des lois applicables, nous conservons vos renseignements personnels uniquement pour le temps nécessaire à la réalisation des fins pour lesquelles ces renseignements ont été recueillis, à moins que vous ne consentiez à ce que vos renseignements personnels soient utilisés ou traités à une autre fin. Après ce délai, vos renseignements personnels seront détruits ou anonymisés de manière sécuritaire.
En ce qui concerne les renseignements personnels concernant nos résidents, nous les conservons aussi longtemps qu’ils bénéficient de nos services. Lors du départ définitif du résident, nous fermons le dossier et retournerons les renseignements personnels à l’établissement de santé et de services sociaux responsable du résident. Tous les renseignements sont retournés dans un délai maximum de 30 jours.
Pour obtenir plus d’information sur les périodes pendant lesquelles vos renseignements personnels sont conservés, veuillez nous contacter comme indiqué à la section « Communiquez avec nous ».
Rôles et responsabilités des membres du personnel
Au sein de la Résidence, plusieurs membres du personnel participent activement à la protection des renseignements personnels et à la sensibilisation du personnel sur ce sujet. Tous membres du personnel de la Résidence doivent prendre connaissance des politiques de la Résidence et implanter leurs directives dans leurs activités quotidiennes faites pour la Résidence.
L’accès aux renseignements
Dans le cadre de leurs fonctions, chaque membre du personnel de la Résidence peut avoir à interagir avec vos renseignements personnels, que ce soit pour la collecte, le traitement, la conservation ou sa destruction. Sachez qu’en tout temps, les droits d’accès, d’utilisation et de communication de vos renseignements personnels sont restreints en fonction du poste occupé par la personne employée de la Résidence.
Droits à l’égard des renseignements personnels
Vous disposez des droits suivants :
Le droit d’être informé des renseignements personnels que nous détenons à votre sujet et de demander une copie papier des documents contenant vos renseignements personnels, sous réserve des exceptions prévues par la loi applicable;
Le droit de faire rectifier, modifier et mettre à jour les renseignements personnels que nous détenons à votre sujet s’ils sont incomplets, équivoques, périmés ou inexacts;
Le droit de retirer ou modifier votre consentement à ce que la VILLA MARIEVILLE recueille, utilise, communique ou conserve vos renseignements personnels en tout temps, sous réserve des restrictions légales et contractuelles applicables.
Le droit de nous demander de cesser de diffuser vos renseignements personnels et de désindexer tout lien rattaché à votre nom qui donne accès à ces renseignements si cette diffusion contrevient à la loi ou à une ordonnance judiciaire;
Le droit de porter plainte auprès de la Résidence concernant la protection de vos renseignements;
Le droit de porter plainte auprès de la Commission d’accès à l’information, sous réserve des conditions prévues par la loi applicable.
Pour exercer l’un ou l’autre de ces droits, veuillez nous contacter comme indiqué à la section « Communiquez avec nous ».
Protection des renseignements personnels
La VILLA MARIEVILLE a mis en place des mesures de sécurité physiques, technologiques et organisationnelles visant à protéger adéquatement la confidentialité et la sécurité de vos renseignements personnels contre la perte, le vol ou tout accès, divulgation, reproduction, communication, utilisation, modification non autorisée. Ces mesures comprennent le contrôle des accès à nos bureaux et à nos équipements, la mise en place sur notre Site web d’une connexion sécurisée entre votre appareil et notre serveur, la sensibilisation des employés de la VILLA MARIEVILLE à la présente Politique, l’obtention de leur engagement à s’y conformer et à respecter le caractère confidentiel de vos renseignements personnels ainsi que l’adoption d’une gouvernance visant notamment la conservation et la destruction sécuritaires de vos renseignements personnels.
De plus, nous limitons l’accès à vos renseignements personnels aux membres du personnel qui en ont besoin pour remplir leurs fonctions. Ces personnes ont seulement accès aux renseignements nécessaires pour réaliser leurs tâches.
Malgré l’adoption de telles mesures, nous ne pouvons garantir la sécurité absolue de vos renseignements personnels. Si vous avez des raisons de croire que vos Renseignements personnels ne sont plus protégés, veuillez nous contacter immédiatement comme indiqué à la section « Communiquez avec nous ».
Mécanismes de journalisation
En vertu du droit applicable, la Résidence s’assure d’effectuer une journalisation régulière et constante de l’ensemble des accès, utilisations et communications des renseignements de santé de ses résidentes et résidents.
Incidents de confidentialité
Suivant tout accès, utilisation ou communication non autorisés d’un renseignement personnel, qu’il soit réel ou appréhendé, les membres de l’équipe d’intervention désignée par la Résidence se rencontrent afin de déterminer l’ampleur et la sévérité de l’incident. Si l’équipe estime que l’incident présente un risque sérieux de préjudice pour la personne concernée, elle avisera la personne concernée par écrit, de même que la Commission d’accès à l’information et le ministre de la Santé et des services sociaux (s’il s’agit de renseignements couverts par la Loi sur les renseignements de santé et de services sociaux) de cet incident.
Dans toutes les circonstances, chaque incident de confidentialité est consigné au registre des incidents de confidentialité de la Résidence.
Limitation de responsabilité
La VILLA MARIEVILLE s’engage à prendre tous les moyens raisonnables afin d’assurer un niveau de confidentialité et de sécurité des renseignements personnels conforme aux standards technologiques adéquats compte tenu de son secteur d’activité.
Malgré ce qui précède, vous déclarez comprendre et reconnaître qu'aucun système informatique n'offre une sécurité absolue et qu’une part de risque est toujours présente lorsque l’on transmet des Renseignements personnels sur le réseau public qu'est l'internet.
Vous acceptez ainsi que la VILLA MARIEVILLE ne puisse être tenue responsable de toute violation de confidentialité, piratage, virus, perte, vol, utilisation abusive ou altération des Renseignements personnels transmis ou hébergées sur ses systèmes ou ceux d'un tiers. Vous déclarez également renoncer à toute réclamation à cet égard, sauf en cas de négligence grave ou de faute intentionnelle de la part la VILLA MARIEVILLE. En conséquence, vous acceptez de dégager la VILLA MARIEVILLE et ses dirigeants, administrateurs, personnes liées et partenaires commerciaux de toute responsabilité pour tout dommage de quelque nature que ce soit, qu'il soit direct ou indirect, accessoire, spécial ou consécutif en rapport avec l'utilisation de vos Renseignements personnels.
Dans le cas d'une violation de la confidentialité ou de la sécurité de vos Renseignements personnels qui présente un risque élevé pour vos droits et votre liberté, cette violation vous sera notifiée dès que possible, et la VILLA MARIEVILLE prendra les mesures nécessaires pour préserver la confidentialité et la sécurité de vos Renseignements personnels.
Témoins de connexion
Nous utilisons des témoins de connexion et autres technologies similaires (collectivement, les « Cookies ») pour nous aider à opérer, protéger et optimiser le Site web et les services que nous offrons. Vous pouvez configurer votre navigateur de manière à être informé de la mise en place de Cookies lors de votre visite du Site web, pour que vous puissiez décider, dans chaque cas, d’acceptation ou de refuser l’utilisation de certains ou de tous les Cookies.
Parmi les Cookies que nous collectons via notre Site web, il y a notamment les suivants :
• Témoins de fonctionnalité : ces témoins permettent au Site web de mémoriser les choix que vous faites (comme votre nom d’utilisateur, votre langue préférée, etc.) pour vous offrir une expérience personnalisée et améliorée lors de vos futures visites.
• Témoins d’analyse : ces témoins nous aident à analyser et à comprendre comment vous utilisez notre Site web, afin d’améliorer sa convivialité, ses fonctionnalités et ses contenus.
• Témoins de publicité : ces témoins sont utilisés pour afficher des publicités pertinentes en fonction de vos intérêts et de votre historique de navigation.
Formation et sensibilisation à la protection des renseignements personnels
Nos employés, y compris les étudiants et stagiaires, et les professionnels exerçant leur profession au sein de la Résidence, sont obligés de prendre connaissance de l’ensemble des politiques en matière de protection des renseignements de la Résidence et de suivre des activités de formation et de sensibilisation concernant l’importance d’une seine gouvernance des renseignements personnels.
Mise à jour de la présente Politique
Nous nous réservons le droit de modifier la présente Politique à tout moment conformément à la législation applicable. En cas de modification, nous publierons la version révisée de la Politique de confidentialité, actualiserons sa date de mise à jour et présenterons un avis de mise à jour sur la page d’accueil de notre Site Web. L’avis indiquera la date de sa publication, l’objet général des modifications apportées et la date de l’entrée en vigueur des modifications.
Nous vous encourageons à consulter la présente Politique à chaque fois que vous accéder à notre Site Web afin de demeurer au fait des mesures de protection et des pratiques de saine de vos renseignements personnels.
Si vous n'approuvez pas les nouvelles conditions de la Politique de confidentialité, nous vous invitons à ne plus utiliser notre Site Web et nos services. Si vous choisissez de continuer d’utiliser notre Site Web ou nos services après l'entrée en vigueur de la nouvelle version de notre Politique, votre utilisation de notre Site Web et nos services sera alors régie par cette nouvelle version de la Politique.
La présente politique a été mise à jour pour la dernière fois le 23 avril 2025.
VILLA MARIEVILLE
POLITIQUE DE PROTECTION DES
RENSEIGNEMENTS PERSONNELS
Version:
3.0
Date de version
2025/04/23
Créé
Guy Caron
Approuvé par
Niveau de confidentialité
Confidentiel
Historique des modifications
Date
Version
Auteur(s)
Description des modifications
2021/01/19
1.0
TCJ
Création du document de base
2024/02/10
2.0
Guy Caron
Adaptations à la réalité de la Résidence
2025/04/23
3.0
Guy Caron
Intégration éléments en lien avec la Loi 5 sur la protection des renseignements de santé
Table des matières
1. Objet et portée de la Politique 4
2. Documents de référence 4
2.1. Législation pertinente 4
3. Définitions 5
4. Principes généraux 7
4.1. Responsabilisation et gouvernance 7
4.2. Consentement 7
4.3. Équité et légalité 8
4.4. Transparence 8
4.5. Déterminer les fins de la collecte et de l’utilisation 9
4.6. Exactitude et rectification 9
4.7. Conservation et anonymisation 9
4.8. Sécurité et confidentialité 10
4.9. Restriction d’accès (art. 7 et 8, Loi 5) 10
5. Finalités de Traitement légitimes des renseignements concernant les employés 11
5.1. Gestion des ressources humaines 11
5.2. Autres activités 11
5.3. Conformité avec la loi 11
6. Intégration de la protection des Renseignements personnels aux activités commerciales 12
6.1. Collecte de Renseignements personnels 12
6.2. Collecte de Renseignements personnels des employés 12
6.3. Utilisation, conservation et destruction 12
6.4. Utilisation, conservation et destruction des Renseignements personnels des employés 13
6.5. Divulgation à des tiers 13
6.5.1. Communication des renseignements de santé et de services sociaux 14
6.6. Divulgation requise à des fins de sécurité 14
6.7. Divulgation dans le cadre d’une transaction commerciale 15
6.8. Transfert à l’extérieur du Québec 15
6.9. Droit d’accès et rectification 15
6.9.1. Droit d’accès relativement à la communication des renseignements de santé et de services sociaux 16
6.9.2. Une personne décédée 16
6.10. Droit de restreindre et refuser l’accès 16
6.11. Droit à la portabilité 17
6.12. Droit à la désindexation (droit à l’oubli) 17
7. Organisation et gouvernance 17
8. Signalement d’incidents de confidentialité et réponse aux plaintes 18
9. Audit 18
10. Sanctions 18
11. Conflits 18
12. Autres membres du personnel 19
13. Gestion documentaire 19
14. Pour joindre la personne responsable de la protection des renseignements personnels (RPRP) 20
15. Validité 20
Objet et portée de la Politique
La protection des Renseignements personnels est au cœur des préoccupations de la Villa Marieville (la « Résidence »). C’est pourquoi nous nous engageons à respecter la vie privée de chacun conformément aux lois, règlements et normes applicables au Québec en matière de protection des Renseignements personnels.
Dans la présente politique de protection des Renseignements personnels (la « Politique »), vous constaterez que nous adhérons à des principes et à des pratiques que nous mettons en œuvre lorsque nous recueillons, utilisons, communiquons, conservons, ou détruisons les Renseignements personnels de nos clients, fournisseurs, partenaires commerciaux, employés et autres personnes en relation avec nous, dans le cadre de nos activités. Cette Politique présente également les responsabilités qui incombent au Responsable de la protection des Renseignements personnels et vous indique la structure de gouvernance adoptée grâce à la création de divers comités.
La Politique s’applique à tous ses employés, comités, fournisseurs de services, partenaires commerciaux et autres contractants qui travaillent pour le compte ou avec la Résidence ainsi qu’aux personnes visées par l’article 12 des présentes.
Documents de référence
Législation pertinente
• Loi sur la protection des renseignements personnels dans le secteur privé, CQLR c P-39.1 (la « Loi sur le secteur privé »);
• Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, SQ 2021, c 25 (la « Loi 25 », sanctionnée le 22 septembre 2021);
• Loi sur les renseignements de santé et de services sociaux, R-22.1 (la « Loi 5 »)
• Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, LC 2010, ch 23;
• Loi concernant le cadre juridique des technologies de l’information, RLRQ c C-1.1;
• Charte des droits et libertés de la personne, RLRQ c C-12;
• Code civil du Québec, RLRQ c CCQ-1991.
(collectivement, les « Lois québécoises sur la protection de la vie privée »)
Définitions
Voici quelques définitions pour vous aider à mieux comprendre :
Activité de traitement ou Traitement : toute opération effectuée sur ou avec des renseignements personnels au cours de leur cycle de vie, que ce soit ou non par des moyens automatisés, en débutant par la collecte, puis l’utilisation, la communication, la conservation et finalement la destruction ainsi que toutes les activités en lien avec ces opérations.
Ajout de bruit : Cette méthode implique l’ajout intentionnel d’erreurs ou de données aléatoires aux enregistrements. Cela peut rendre plus difficile la réidentification des individus tout en préservant la structure globale des données.
Anonymiser : poser une action sur un renseignement personnel concernant un individu de sorte qu’on ne puisse plus jamais, et ce de façon irréversible, identifier directement ou indirectement cette personne.
Dépersonnaliser : supprimer, remplacer ou retirer tous les renseignements qui permettent l’identification directe de la personne concernée. S’il y a remplacement des noms et identifiants évidents, cela permettra de faire en sorte qu’on ne puisse plus identifier directement la personne concernée. Cela peut se faire grâce à des techniques telles que la troncation, l’ajout de bruit, l’utilisation d’outils de chiffrement, la réduction du niveau de granularité des informations ou une combinaison de ces techniques et/ou l’utilisation de techniques additionnelles.
Évaluation des facteurs relatifs à la vie privée ou ÉFVP : démarche conçue pour évaluer les Activités de traitement et leur nécessité, qui sont proportionnelles à la fin recherchée et s’assurer que le Traitement ne risque pas de porter atteinte à la vie privée d’un individu.
Incident de confidentialité : tout accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection ou à son caractère confidentiel.
Pseudonymisation : processus de sécurité réversible qui consiste à remplacer des renseignements facilement attribuables à une personne (par exemple, son nom et son prénom) ou des éléments qui permettent de la distinguer des autres (personne de plus de 100 ans) par des renseignements uniques de sorte que les données originales ne soient plus directement liées à une personne. Les identifiants directs sont remplacés par des alias et ils ne permettent qu’une identification indirecte de la personne concernée et ce, uniquement pas les personnes en possession de la clé d’association de l’alias au renseignement personnel (un alias ou un numéro de référence ou un code).
Renseignements personnels : désigne tout renseignement qui concerne une personne physique et permet de l'identifier directement ou indirectement, c’est-à-dire qui révèle de manière directe ou indirecte ou par référence, quelque chose sur l’identité, les caractéristiques, les activités, l’emplacement ou d’autres informations identifiables de cette personne, et ce quelle que soit la nature du support et quelle que soit la forme sous laquelle ces renseignements sont accessibles (écrite, graphique, sonore, visuelle, informatisée ou autre). Cela inclut dans tous les cas, un Renseignement personnel sensible.
Renseignements personnels sensibles : renseignement personnel qui, par sa nature ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable de protection de la part de la personne concernée (par exemple, des renseignements médicaux, biométriques, génétiques ou financiers, ou encore de renseignements sur la vie ou l’orientation sexuelle, les convictions religieuses ou philosophiques, l’appartenance syndicale ou bien l’origine ethnique).
Renseignements publics : certains renseignements permettant d’identifier directement des personnes sont publics. Les renseignements concernant l’exercice d’une fonction d’une personne au sein d’une entreprise ou d’un organisme public sont publics et ne sont pas soumis aux lois protégeant les renseignements personnels, dont :
• le nom ;
• le titre ;
• la fonction ;
• le courriel, l’adresse et le numéro de téléphone de son lieu de travail.
Renseignements de santé ou de services sociaux : désigne tout renseignement concernant l’état de santé physique ou mentale d’une personne et ses facteurs déterminants. Ceci comprend également les antécédents médicaux ou familiaux de la personne, de même que tout matériel prélevé sur la personne dans le cadre d’une évaluation ou d’un traitement. Sont également considérés les services de santé ou les services sociaux offerts à la personne, notamment leur nature, résultat, lieu(x) où ils ont été offert(s) ainsi que l’identité des personnes qui les a offertes.
De plus, un renseignement permettant l’identification d’une personne tels que son nom, sa date de naissance, ses coordonnées ou son no d’assurance maladie est un renseignement de santé et de service sociaux lorsqu’il est accolé à un renseignement concernant l’état de santé physique ou mentale d’une personne et ses facteurs déterminants. Ceci comprend également les antécédents médicaux ou familiaux de la personne. Il en est de même s’il est recueilli en vue de l’enregistrement, de l’inscription ou de l’admission de la personne concernée dans un établissement ou de sa prise en charge par un autre organisme du secteur des services sociaux.
Responsable de la protection des renseignements personnels : La personne désignée pour s’assurer de la protection de la vie privée au sein de la Résidence (RPRP).
Troncation : La troncation consiste à raccourcir les données, par exemple en utilisant uniquement les trois premières lettres du nom d’un client plutôt que le nom complet.
Utilisation d’outils de chiffrement : Le chiffrement peut être utilisé pour rendre les données illisibles sans la clé de déchiffrement appropriée. Cependant, cela peut ne pas être suffisant pour l’anonymisation complète, car la réidentification reste possible si la clé est compromise.
Principes généraux
La Loi sur le secteur privé du Québec et la Loi 25 ainsi que certains contrats avec lesquels la Résidence est liée nous obligent à nous conformer aux principes généraux suivants :
Responsabilisation et gouvernance
La Résidence est responsable de la protection des Renseignements personnels qu’elle détient, utilise, communique, conserve ou détruit. C’est pourquoi elle :
• désigne un RPRP;
• établit et met en œuvre des politiques et des pratiques encadrant sa gouvernance à l’égard des Renseignements personnels;
• établit un processus de réponse aux demandes d'accès et de rectification qui lui sont transmises;
• publie sur son site Web son Programme de gouvernance de l’information;
• établit un processus de gestion des incidents de confidentialité; elle avisera d’ailleurs la Commission d’accès à l’information et les personnes concernées de tout Incident de confidentialité dans le cas où il peut en découler un préjudice sérieux pour ces dernières.
Consentement
Les Renseignements personnels ne doivent être collectés et traités qu’aux fins légitimes et nécessaires pour lesquelles ils ont été initialement recueillis. Aussi, avant de recueillir, d’utiliser ou de communiquer des Renseignements personnels, la Résidence doit obtenir un consentement valable de la part de la personne concernée. C’est pourquoi nous recueillons ce consentement de manière explicite, sous réserve de situations où le consentement peut être implicite en vertu de la loi. Il doit cependant être donné de manière expresse s’il concerne des Renseignements personnels sensibles.
Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé.
Pour utiliser les Renseignements personnels à une fin secondaire ou autre, il est nécessaire d’obtenir un consentement additionnel. Ce dernier sera énoncé ou rédigé de façon simple et claire et inclure :
• la fin initiale pour laquelle les renseignements ont été recueillis;
• la ou les nouvelles fin(s) visée(s) (ou les fins secondaires);
• la raison du changement de fin(s).
Une preuve que le consentement a été valablement obtenu est conservée par la Résidence.
Le RPRP est responsable du respect des règles concernant l’obtention du consentement de façon légale et appropriée.
Équité et légalité
Les Renseignements personnels doivent être traités par des moyens équitables et légaux tout au long de leur cycle de vie.
C’est pourquoi nous formons et sensibilisons de façon récurrente nos employés à l’égard des politiques et des pratiques de gestion des Renseignements personnels de la Résidence. Elles sont rédigées en termes simples et clairs pour en faciliter la compréhension et sont faciles d’accès pour nos employés comme pour nos clients.
Transparence
La Résidence doit faire preuve de transparence et voir à informer ses résidents et ses employés des politiques et des pratiques de gestion des Renseignements.
C’est ainsi qu’avant de recueillir ou au moment de recueillir des Renseignements personnels, nous vous mentionnons les informations minimales suivantes :
• Les fins légitimes auxquelles ces Renseignements sont recueillis;
• Les moyens par lesquels les Renseignements sont recueillis;
• Vos droits d’accès et de rectification prévus par la loi;
• Votre droit de retirer votre consentement à la communication ou à l’utilisation de ces renseignements;
• Le nom du tiers pour qui la collecte est faite, le cas échéant;
• La possibilité que les Renseignements soient communiqués à l’extérieur du Québec, le cas échéant.
• La possibilité que les renseignements soient communiqués à des fournisseurs de services, incluant des organisations affiliées, le cas échéant, ou à d’autres tiers similaires;
• La durée de conservation des renseignements de santé et de services sociaux;
• Les coordonnées du RPRP.
Les informations mentionnées précédemment doivent être communiquées à la personne concernée seulement une fois au cours d’un même épisode de prestation de soins.
De plus, en tout temps et sur demande de votre part, nous vous communiquerons des informations additionnelles comprenant:
• Les Renseignements personnels que vous nous avez communiqués;
• Les catégories de personnes qui ont accès à ces Renseignements personnels au sein de la Résidence;
• La durée de conservation des Renseignements personnels;
• Les coordonnées de la personne Responsable de la protection des renseignements personnels.
Déterminer les fins de la collecte et de l’utilisation
Les Renseignements personnels doivent être recueillis et utilisés à des fins spécifiques, explicites et légitimes, c’est-à-dire directement liées et manifestement nécessaires à la réalisation des Activités de traitement pour lesquelles ils ont été communiqués. Ces fins sont établies avant la collecte et l’utilisation des Renseignements personnels, qui ne doivent pas être effectuées d’une manière incompatible avec ces fins établies, sous réserve du consentement obtenu. La Résidence doit faire preuve d’honnêteté et de transparence au sujet des raisons pour lesquelles elle recueille des Renseignements personnels et il est important que tous comprennent bien ce que nous en ferons.
Exactitude et rectification
Les Renseignements doivent être à jour et exacts au moment où nous les utilisons pour prendre une décision. Nous visons à sauvegarder l’intégrité de l’information, tant dans son fond que sa forme, et à nous assurer que personne ne subit de préjudice si un Renseignement devait être inexact ou désuet. Nous prenons des mesures raisonnables et adoptons les meilleures pratiques pour que les Renseignements personnels soient maintenus à jour et qu’ils soient ou rectifiés s’ils doivent l’être ou effacés lorsque devenus inutiles.
Conservation et anonymisation
Les Renseignements ne sont conservés que pour la durée nécessaire à la réalisation des fins pour lesquelles ils ont été recueillis. Lorsque ces fins sont accomplies, nous devons détruire les Renseignements personnels. La Résidence peut également Anonymiser les Renseignements personnels, selon les meilleures pratiques généralement reconnues, pour utiliser les Renseignements anonymisés à des fins sérieuses et légitimes seulement.
Il est possible que certaines lois spécifient une période de conservation que la Résidence sera tenue de respecter.
Sécurité et confidentialité
Nous avons l’obligation de mettre en place des mesures de sécurité raisonnables propres à assurer la protection des Renseignements personnels détenus, utilisés, communiqués, conservés contre la perte, le vol ou tout accès, communication, copie, utilisation, traitement, modification ou destruction non autorisé ou abusif.
Ces mesures de sécurité tiennent compte notamment du degré de sensibilité des Renseignements personnels visés, de la finalité de leur utilisation, de leur quantité, de leur répartition, de leur méthode de conservation, de leur support et de leur format ainsi que des risques liés au respect de la vie privée.
Des mesures de sécurité adéquates qui comprennent plusieurs couches de sécurité incluant, sans s’y limiter, des moyens techniques, matériels, organisationnels et administratifs ont été implantées au sein de la Résidence.
Restriction d’accès (art. 7 et 8, Loi 5)
L'accès aux Renseignements de santé et de services sociaux peut être restreint par la personne concernée. Cette dernière peut déterminer qu’un intervenant particulier ou qui appartient à une catégorie d’intervenants ne peut avoir accès à un ou plusieurs renseignements qu’elle identifie.
Elle peut également refuser qu’un renseignement la concernant, présent ou à venir, soit accessible à certaines personnes à compter du moment que les Renseignements de santé et de services sociaux sont détenus par la Résidence. Les personnes à qui cet accès peut être restreint sont :
• Son conjoint, son ascendant direct ou son descendant direct s’il s’agit d’un Renseignement relatif à la cause de son décès;
• Un chercheur, si l’accès envisagé est à des fins de sollicitation en vue de sa participation à un projet de recherche;
• Un chercheur qui n’est pas lié à la Résidence ou à un établissement public ou privé conventionné qui exploite un centre hospitalier.
En tout temps, ce désir de restreindre ou d’interdire l’accès doit être fait de façon expresse, sans ambiguïté et non équivoque.
La Résidence a nommé Carole Boivin pour servir à titre de responsable à communiquer avec toute personne qui formule une demande de restriction d’accès aux Renseignements de santé et de services sociaux visée par l’article 4.9 de la présente Politique. Cette personne responsable devra notamment aviser toute personne qui formule une telle demande des conséquences possibles et risques associés à l’exercice d’un tel droit de restriction.
Finalités de Traitement légitimes des renseignements concernant les employés
La Résidence peut utiliser les Renseignements personnels de ses employés pour des fins légitimes, dont certaines sont décrites ci-dessous :
Gestion des ressources humaines
Pour nous permettre de gérer les ressources humaines, notamment en ce qui concerne de nombreux processus : recrutement, exécution d'un contrat de travail, cessation d'emploi, gestion des performances, formation des employés, rémunération et avantages sociaux, services divers aux employés, santé et sécurité au travail, invalidité et processus de retour au travail, ainsi que toute autre activité de ressources humaines.
L’employé qui fournit des Renseignements personnels consent implicitement à leur collecte et à leur utilisation par l’Employeur. La Résidence peut traiter les Renseignements personnels de ses employés sans renouveler ce consentement tant que l’employé est à son emploi, car à titre d’employeur, la Résidence a une obligation légitime de recueillir les Renseignements personnels de ses employés pour gérer sainement et efficacement ses activités. Toutefois, les besoins d'information de la Résidence doivent être compatibles au droit des employés à la protection de leurs Renseignements personnels.
Autres activités
Pour nous permettre de réaliser nos activités et opérations commerciales, telles que la gestion des actifs de la Résidence, la prestation de services informatiques ou web, la sécurité de l'information, la réalisation d'audits et d'enquêtes internes, le respect des obligations de ses contrats commerciaux, obtenir des conseils juridiques ou commerciaux, la préparation de litiges juridiques, etc.
Conformité avec la loi
Pour nous permettre de nous conformer aux obligations légales et à toute autre fin requise par la loi, incluant celle de divulguer des Renseignements personnels des employés aux autorités fiscales compétentes.
Intégration de la protection des Renseignements personnels aux activités commerciales
En application des principes généraux énoncés ci-dessus, la Résidence intègre les pratiques décrites ci-dessous tout au long du cycle de vie des Renseignements personnels dans ses opérations et activités commerciales.
Collecte de Renseignements personnels
Lorsque nous collectons des Renseignements personnels, c’est d’abord directement auprès de la personne concernée nous les recueillons, après avoir mentionné l’information prévue à l’article 4.5.
La Résidence reçoit aussi des Renseignements personnels et des Renseignements de santé ou de services sociaux concernant notre clientèle auprès de tiers, tels que ses représentants ou proches. Dans ces cas, la personne Responsable de la protection des renseignements personnels doit s’assurer que la collecte est autorisée par la loi et qu’elle respecte les politiques et pratiques de la Résidence à ce sujet.
En tout temps, nous limitons la collecte des Renseignements personnels à ce qui est nécessaire pour les fins déterminées qui ont été mentionnées.
Collecte de Renseignements personnels des employés
Lorsque nous recueillons des Renseignements personnels des employés, cette collecte doit se limiter aux Renseignements personnels qui sont strictement nécessaires à la réalisation des fins prévues telles que celles énoncées à l’article 4.5.
Si des Renseignements personnels d’un candidat à un emploi sont recueillis auprès de tiers, nous nous assurons que la collecte est effectuée par des moyens légitimes et légaux dans le respect des lois, des politiques et pratiques de la Résidence.
Utilisation, conservation et destruction
Les objectifs, les méthodes, la période de conservation et les limites de stockage des Renseignements personnels sont conformes aux informations contenues dans la Politique sur la gestion intégrée des documents.
C’est le RPRP qui doit procéder à une vérification annuelle des Renseignements personnels collectés et traités et construire un Registre des Renseignements personnels décrivant les renseignements utilisés au sein des documents produits par la Résidence, les fins pour lesquelles ces renseignements ont été produits, les délais de conservation de ces documents et des renseignements qu’ils contiennent ainsi que les droits d’accès relatifs à chacun de ces documents.
Puisque nous devons maintenir l'exactitude, l'intégrité, la confidentialité et la pertinence des Renseignements personnels en fonction de la finalité du Traitement et de plus, ne les conserver que pour le temps dont nous en avons besoin à ces fins, nous avons mis en place des mécanismes de sécurité raisonnables et adéquats pour empêcher le vol, l'utilisation abusive ou frauduleuse des Renseignements personnels et prévenir les Incidents de confidentialité.
C’est pourquoi nous nous assurons également que les Renseignements personnels en notre possession ne sont ni détruits ni modifiés illégalement et nous nous engageons également à ne pas vendre ou fournir les Renseignements personnels à un tiers de manière illégale ou sans en obtenir l’autorisation. Nous effectuons des audits régulièrement pour nous en assurer.
Utilisation, conservation et destruction des Renseignements personnels des employés
Pour la presque totalité des Renseignements personnels des employés, y compris les dossiers relatifs à la paie et aux avantages sociaux, les dossiers personnels officiels et officieux, les enregistrements de navigation sur Internet, le courrier électronique et les pistes d’audit, les règles fondamentales suivantes sont respectées afin de maintenir un équilibre entre les droits de la Résidence et ceux des employés :
• Nous ne traitons les Renseignements personnels des employés qu'aux seules fins pour lesquelles ceux-ci ont été recueillis et ne conservons ces derniers que pour le temps dont nous en avons besoin, sauf si nous avons obtenu le consentement de l'employé concerné pour les utiliser à d'autres fins ou si nous devons, en vertu des lois applicables, utiliser ou communiquer les Renseignements personnels de l’employé à d'autres fins comme à la demande d’autorités de réglementation.
• Nous avons également mis en place des mesures de sécurité raisonnables propres à assurer la protection des Renseignements personnels de nos employés contre la perte, le vol ou tout accès, communication, copie, utilisation, traitement, modification ou destruction non autorisé ou abusif. Ces mesures de sécurité, ici aussi, comprennent plusieurs couches de sécurité dont des moyens techniques, matériels, organisationnels et administratifs permettant d’assurer la gestion des risques, des incidents et la continuité des activités.
• Pour ces Renseignements personnels, nous nous assurons également de ne pas détruire ou modifier illégalement les Renseignements personnels et nous nous engageons à ne pas vendre ou fournir les Renseignements personnels des employés à un tiers de manière illégale ou sans autorisation.
Divulgation à des tiers
Avant de transférer des Renseignements personnels à un fournisseur de services ou un partenaire commercial, le RPRP doit, à chaque fois, conclure un contrat écrit avec ce tiers, comme l’Entente relative à la sécurité de l’information concernant le Traitement des Renseignements personnels par un fournisseur de services. Certaines clauses doivent nécessairement se retrouver à ce contrat telles que :
• La description des mesures prises par le fournisseur de services pour assurer la protection du caractère confidentiel des Renseignements personnels communiqués (ex. une description des mesures de sécurité);
• L’engagement, par le fournisseur de services, de n’utiliser les Renseignements personnels qu’aux fins de la prestation des services et de ne pas conserver ces renseignements après l’expiration du contrat; et
• L’obligation, pour le fournisseur de services, de nous informer sans délai de toute violation ou tentative de violation de la confidentialité des renseignements afin de nous permettre d’effectuer toute enquête ou vérification relative à cette violation.
À cette fin, le « Questionnaire de conformité à l’attention des sous-traitants » doit être utilisé. Une fois le formulaire rempli et retourné à l’attention du RPRP, il analyse les risques relatifs à la divulgation de Renseignements personnels. Sur la base de cette analyse, le Responsable de la protection des renseignements personnels doit s’assurer que le fournisseur de services implante au sein de son entreprise un programme de gouvernance qui respectera le Programme de gouvernance de la Résidence et le tiers devra également s’engager à conclure une Entente relative à la sécurité de l’information.
Communication des renseignements de santé et de services sociaux
En vertu des dispositions applicables de la Loi 5, la Résidence a l’obligation de tenir un registre pour chaque communication de renseignements de santé et de services sociaux qui est effectuée. Cette obligation ne s’applique toutefois pas pour les communications qui sont faites à la personne concernée ou à certaines personnes qui lui sont liées. Le registre qui figure au document 4.02 sera utilisé pour ces fins. Ce registre doit être utilisé par la Résidence pour chaque communication qui y est visée.
L’obligation de conserver ce registre sera toutefois abolie dès que l’obligation de journaliser l’ensemble des accès, utilisations et communications des renseignements de santé et de services sociaux entrera en vigueur.
Divulgation requise à des fins de sécurité
La Résidence peut, le cas échéant, divulguer des informations en sa possession dans le but de protéger une personne ou un groupe de personnes identifiables lorsque la Résidence a des motifs raisonnables de croire qu'un risque de préjudice grave, de décès ou de blessure corporelle grave (y compris toute blessure psychologique ou physique susceptible de porter atteinte de manière significative à l'intégrité physique, au bien-être ou à la santé de la personne concernée) menace cette personne ou ce groupe.
La Résidence peut également, le cas échéant, communiquer des informations à toute force de police et au Directeur des poursuites criminelles et pénales lorsqu'elle a des raisons de croire qu'une infraction à la loi est commise ou risque de l'être.
Divulgation dans le cadre d’une transaction commerciale
Si la divulgation de Renseignements personnels est nécessaire dans le cadre d’une transaction commerciale, le RPRP doit, à chaque fois, conclure une entente écrite avec les parties à la transaction qui prévoit notamment que la partie recevant communication des Renseignements personnels s’engage à :
• N’utiliser ces renseignements qu'aux seules fins de la conclusion de la transaction;
• Ne pas communiquer ces renseignements sans avoir obtenu le consentement des individus concernés;
• Prendre les mesures nécessaires pour assurer la protection du caractère confidentiel de ces Renseignements personnels; et
• Détruire ces Renseignements personnels si la transaction n'est pas conclue ou si leur utilisation n'est plus nécessaire aux fins de sa conclusion.
C’est pourquoi nous nous assurons d’obtenir un Engagement relatif à la sécurité de l’information de la part de contractants.
Transfert à l’extérieur du Québec
Si des Renseignements personnels sont communiqués à l’extérieur du Québec, une Évaluation des facteurs relatifs à la vie privée (ÉFVP) sera effectuée. Elle prendra en compte les éléments prévus à la loi pour nous assurer que les Renseignements bénéficieront d’une protection adéquate et suffisante chez le récipiendaire des Renseignements.
Droit d’accès et rectification
En tout temps, toute personne bénéficie d’un accès gratuit (ou à un prix modique pour obtenir des reproductions) à ses Renseignements personnels. Elle peut également faire corriger ou mettre à jour les renseignements inexacts, sous réserve des exceptions prévues par la loi. Ces demandes sont traitées dans un délai de 30 jours et sont inscrites au Registre des demandes d’accès et de rectifications. Si une demande d’accès est refusée, le RPRP y répond par écrit et explique les raisons de ce refus.
Toute demande d’accès ou de rectification à un Renseignement personnel ou un Renseignement de santé ou de services sociaux doit obligatoirement être fait par écrit et soumis à la personne Responsable de la protection des renseignements personnels de la Résidence.
Toutefois, lorsqu’en vertu de l’avis d’un professionnel de la santé ou des services sociaux, il est jugé que l’accès aux Renseignements de la santé et de services sociaux pourrait causer un préjudice grave pour la santé de la personne concernée, ce droit peut lui être refusé momentanément. La Résidence a alors l’obligation de documenter les motifs justifiant cette décision et avec mention du moment où le droit pourra être exercé de nouveau par la personne concernée.
Lorsqu’elle répond à une demande d’accès, la Résidence doit d’abord s’assurer de vérifier l’identité de la personne qui fait la demande avant de lui transmettre or de lui communiquer des Renseignements personnels.
Droit d’accès relativement à la communication des renseignements de santé et de services sociaux
Le droit d’accès aux diverses communications des renseignements de santé et de services sociaux à des personnes autres que la personne concernée ou des personnes qui lui sont liées, se fait par la consultation du registre en ce sens qui se trouve dans le document 4.02.
Une personne décédée
Un(e) conjoint(e), un parent et l’enfant d’une personne décédée a le droit d’être informé de l’existence d’un renseignement relatif à la cause de son décès, et d’y avoir accès. Toutefois, si la personne a refusé l’accès à ce renseignement à la personne en question, l’accès ne peut être octroyé.
Les personnes suivantes ont le droit d’être informées de l’existence d’un renseignement concernant le défunt et d’y avoir accès à la condition que ce soit nécessaire à l’exercice de ses droits et obligations à ce titre :
• L’héritier;
• Le successible;
• Le légataire particulier;
• Le liquidateur d’une succession;
• Une personne désignée à titre de bénéficiaire d’une assurance-vie ou d’une indemnité de décès.
Une personne liée génétiquement au défunt peut également être informée de l’existence d’un renseignement concernant le défunt et d’y avoir accès à la condition que cela soit nécessaire pour vérifier l’existence d’une maladie génétique ou à caractère familial.
Droit de restreindre et refuser l’accès
Toute personne peut demander que l’accès à ses renseignements de la santé et des services sociaux soit restreint ou refusé à un intervenant en particulier ou un groupe d’intervenants. Ce droit ne peut être outrepassé qu’en cas de risque à la vie ou l’intégrité physique de la personne concernée.
Toute personne peut également exiger la restriction d’accès à ses renseignements de la santé et des services sociaux. La restriction d’accès peut être applicable aux personnes et situations suivantes :
• À son conjoint, ses ascendants et ses descendants s’il s’agit d’un renseignement relatif à la cause de son décès; et
• A un chercheur si l’accès envisagé est à des fins de sollicitation en vue de sa participation à un projet de recherche.
Droit à la portabilité
Toute personne peut demander que les Renseignements personnels recueillis à son sujet soient communiqués ou transférés à une autre organisation désignée, dans un format technologique et couramment utilisé. Ceci exclut les renseignements créés ou inférés par la Résidence à partir de l’analyse de vos Renseignements personnels. Après le transfert, nous ne sommes pas tenus de détruire les Renseignements personnels traités dans cette demande.
Droit à la désindexation (droit à l’oubli)
Toute personne peut, sous réserve de certaines conditions, nous demander de cesser de diffuser des Renseignements personnels la concernant ou de désindexer tout hyperlien rattaché à son nom qui donne accès à ces Renseignements personnels si cette diffusion lui cause un préjudice ou contrevient à la loi ou à une ordonnance judiciaire. Si ces Renseignements sont ainsi utilisés par un mandataire, nous verrons à lui demander de procéder de cesser de diffuser ou de procéder à la désindexation.
Organisation et gouvernance
La responsabilité de garantir la protection et le Traitement adéquat des Renseignements personnels incombe à la Résidence et à toute personne qui travaille avec ou pour le compte de la Résidence et qui a accès aux Renseignements personnels.
Les principales responsabilités en matière de gouvernance et de gestion des Renseignements personnels relèvent des rôles organisationnels suivants :
Le RPRP est responsable des tâches suivantes:
• Gérer et mettre en œuvre le Programme de gouvernance de l’information;
• Développer et promouvoir les politiques et les pratiques de la Résidence en matière de protection des Renseignements personnels;
• Surveiller et analyser les lois sur la vie privée applicables ainsi que les changements qui sont envisagés ou apportés par le législateur;
• Élaborer et maintenir à jour les exigences de conformité que la Résidence doit respecter et aider celle-ci à atteindre ses objectifs en matière de protection des Renseignements personnels.
De plus, la Résidence s’est dotée d’un Comité de gestion intégrée des documents, de sécurité et de gouvernance veillant à la bonne marche des opérations dans le respect de la confidentialité des Renseignements personnels. Ce comité a des tâches bien définies détaillées dans un document expliquant ces diverses tâches, accessible sur demande.
Signalement d’incidents de confidentialité et réponse aux plaintes
Toute personne physique dont les renseignements personnels sont concernés par un Incident de confidentialité réel ou appréhendé peut formuler une plainte au Responsable de la protection des renseignements personnels, laquelle sera traitée conformément à la Procédure de réponse et de notification en cas de plainte et/ou d’incidents de confidentialité.
La Résidence doit aviser la Commission d’accès à l’information et les personnes concernées de tout Incident de confidentialité qui présente un risque de préjudice sérieux compte tenu de la sensibilité des renseignements concernés, des conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables. Si l’incident de confidentialité à risque de préjudice sérieux concerne des renseignements de santé, le Ministre de la Santé et des Services sociaux doit également être avisé.
Audit
Le RPRP est chargé d'auditer la manière dont la Résidence met en œuvre la présente Politique.
Sanctions
Toute personne qui enfreint cette Politique fera l'objet d'une sanction disciplinaire et pourra également être soumise à des poursuites civiles ou pénales si sa conduite enfreint les lois ou les règlements applicables.
Conflits
La présente Politique vise à se conformer aux lois et règlements et aux ententes d’affaires qui s’appliquent à la Résidence dans le cadre de ses opérations et activités commerciales. En cas de conflit entre la présente Politique et les lois et règlements applicables, ces derniers prévaudront.
Autres membres du personnel
La Résidence doit également respecter et mettre en application la présente Politique lorsqu’elle exerce une Activité de traitement des Renseignements personnels des autres membres de son personnel, ce qui comprend notamment: (i) les personnes qui postulent auprès de la Résidence ou qui prenne part au processus de recrutement de la Résidence (ii) les anciens employés de la Résidence ainsi que (iii) les personnes non-employés qui travaillent dans les bureaux de la Résidence, dont les travailleurs autonomes, consultants, bénévoles et stagiaires.
Gestion documentaire
Nom du registre
Lieu de conservation
Personne responsable de la conservation
Mesures de protection en place
Période de rétention
Registre des consentements de la personne concernée
Ordinateur du bureau de la Résidence, Copie sur disques durs externes
RPRP
Seules les personnes autorisées peuvent accéder au registre et aux formulaires
10 ans
Registre des Activités de traitement
Ordinateur du bureau de la Résidence, Copie sur disques durs externes
RPRP
Seules les personnes autorisées peuvent accéder au registre
Permanent
Registre des droits de la personne concernée
Ordinateur du bureau de la Résidence, Copie sur disques durs externes
RPRP
Seules les personnes autorisées peuvent accéder au registre
Permanent
Registre des Renseignements personnels
Ordinateur du bureau de la Résidence, Copie sur disques durs externes
RPRP
Seules les personnes autorisées peuvent accéder au registre
Permanent
Registre des communications
Ordinateur du bureau de la Résidence, Copie sur disques durs externes
RPRP
Seules les personnes autorisées peuvent accéder au registre
Permanent
Registre des avis de confidentialité
Ordinateur du bureau de la Résidence, Copie sur disques durs externes
RPRP
Seules les personnes autorisées peuvent accéder au registre
Permanent
Pour joindre la personne responsable de la protection des renseignements personnels (RPRP)
On peut contacter la personne responsable par écrit :
Par la poste :
Responsable de la protection des renseignements personnels
Villa Marieville
1180, rue du Pont
Marieville, Québec, J3M 1H1
Par courriel :
rprp.villamarieville@outlook.com
Validité
Ce document est entré en vigueur à compter du 10 février 2024.
Le propriétaire du présent document est Guy Caron, qui doit le vérifier et le mettre à jour au moins une fois par an.
VILLA MARIEVILLE
POLITIQUE DE PROTECTION DES
RENSEIGNEMENTS PERSONNELS
Version:
3.0
Date de version
2025/04/23
Créé
Guy Caron
Approuvé par
Niveau de confidentialité
Confidentiel
Historique des modifications
Date
Version
Auteur(s)
Description des modifications
2021/01/19
1.0
TCJ
Création du document de base
2024/02/10
2.0
Guy Caron
Adaptations à la réalité de la Résidence
2025/04/23
3.0
Guy Caron
Intégration éléments en lien avec la Loi 5 sur la protection des renseignements de santé
Table des matières
1. Objet et portée de la Politique 4
2. Documents de référence 4
2.1. Législation pertinente 4
3. Définitions 5
4. Principes généraux 7
4.1. Responsabilisation et gouvernance 7
4.2. Consentement 7
4.3. Équité et légalité 8
4.4. Transparence 8
4.5. Déterminer les fins de la collecte et de l’utilisation 9
4.6. Exactitude et rectification 9
4.7. Conservation et anonymisation 9
4.8. Sécurité et confidentialité 10
4.9. Restriction d’accès (art. 7 et 8, Loi 5) 10
5. Finalités de Traitement légitimes des renseignements concernant les employés 11
5.1. Gestion des ressources humaines 11
5.2. Autres activités 11
5.3. Conformité avec la loi 11
6. Intégration de la protection des Renseignements personnels aux activités commerciales 12
6.1. Collecte de Renseignements personnels 12
6.2. Collecte de Renseignements personnels des employés 12
6.3. Utilisation, conservation et destruction 12
6.4. Utilisation, conservation et destruction des Renseignements personnels des employés 13
6.5. Divulgation à des tiers 13
6.5.1. Communication des renseignements de santé et de services sociaux 14
6.6. Divulgation requise à des fins de sécurité 14
6.7. Divulgation dans le cadre d’une transaction commerciale 15
6.8. Transfert à l’extérieur du Québec 15
6.9. Droit d’accès et rectification 15
6.9.1. Droit d’accès relativement à la communication des renseignements de santé et de services sociaux 16
6.9.2. Une personne décédée 16
6.10. Droit de restreindre et refuser l’accès 16
6.11. Droit à la portabilité 17
6.12. Droit à la désindexation (droit à l’oubli) 17
7. Organisation et gouvernance 17
8. Signalement d’incidents de confidentialité et réponse aux plaintes 18
9. Audit 18
10. Sanctions 18
11. Conflits 18
12. Autres membres du personnel 19
13. Gestion documentaire 19
14. Pour joindre la personne responsable de la protection des renseignements personnels (RPRP) 20
15. Validité 20
Objet et portée de la Politique
La protection des Renseignements personnels est au cœur des préoccupations de la Villa Marieville (la « Résidence »). C’est pourquoi nous nous engageons à respecter la vie privée de chacun conformément aux lois, règlements et normes applicables au Québec en matière de protection des Renseignements personnels.
Dans la présente politique de protection des Renseignements personnels (la « Politique »), vous constaterez que nous adhérons à des principes et à des pratiques que nous mettons en œuvre lorsque nous recueillons, utilisons, communiquons, conservons, ou détruisons les Renseignements personnels de nos clients, fournisseurs, partenaires commerciaux, employés et autres personnes en relation avec nous, dans le cadre de nos activités. Cette Politique présente également les responsabilités qui incombent au Responsable de la protection des Renseignements personnels et vous indique la structure de gouvernance adoptée grâce à la création de divers comités.
La Politique s’applique à tous ses employés, comités, fournisseurs de services, partenaires commerciaux et autres contractants qui travaillent pour le compte ou avec la Résidence ainsi qu’aux personnes visées par l’article 12 des présentes.
Documents de référence
Législation pertinente
• Loi sur la protection des renseignements personnels dans le secteur privé, CQLR c P-39.1 (la « Loi sur le secteur privé »);
• Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, SQ 2021, c 25 (la « Loi 25 », sanctionnée le 22 septembre 2021);
• Loi sur les renseignements de santé et de services sociaux, R-22.1 (la « Loi 5 »)
• Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, LC 2010, ch 23;
• Loi concernant le cadre juridique des technologies de l’information, RLRQ c C-1.1;
• Charte des droits et libertés de la personne, RLRQ c C-12;
• Code civil du Québec, RLRQ c CCQ-1991.
(collectivement, les « Lois québécoises sur la protection de la vie privée »)
Définitions
Voici quelques définitions pour vous aider à mieux comprendre :
Activité de traitement ou Traitement : toute opération effectuée sur ou avec des renseignements personnels au cours de leur cycle de vie, que ce soit ou non par des moyens automatisés, en débutant par la collecte, puis l’utilisation, la communication, la conservation et finalement la destruction ainsi que toutes les activités en lien avec ces opérations.
Ajout de bruit : Cette méthode implique l’ajout intentionnel d’erreurs ou de données aléatoires aux enregistrements. Cela peut rendre plus difficile la réidentification des individus tout en préservant la structure globale des données.
Anonymiser : poser une action sur un renseignement personnel concernant un individu de sorte qu’on ne puisse plus jamais, et ce de façon irréversible, identifier directement ou indirectement cette personne.
Dépersonnaliser : supprimer, remplacer ou retirer tous les renseignements qui permettent l’identification directe de la personne concernée. S’il y a remplacement des noms et identifiants évidents, cela permettra de faire en sorte qu’on ne puisse plus identifier directement la personne concernée. Cela peut se faire grâce à des techniques telles que la troncation, l’ajout de bruit, l’utilisation d’outils de chiffrement, la réduction du niveau de granularité des informations ou une combinaison de ces techniques et/ou l’utilisation de techniques additionnelles.
Évaluation des facteurs relatifs à la vie privée ou ÉFVP : démarche conçue pour évaluer les Activités de traitement et leur nécessité, qui sont proportionnelles à la fin recherchée et s’assurer que le Traitement ne risque pas de porter atteinte à la vie privée d’un individu.
Incident de confidentialité : tout accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection ou à son caractère confidentiel.
Pseudonymisation : processus de sécurité réversible qui consiste à remplacer des renseignements facilement attribuables à une personne (par exemple, son nom et son prénom) ou des éléments qui permettent de la distinguer des autres (personne de plus de 100 ans) par des renseignements uniques de sorte que les données originales ne soient plus directement liées à une personne. Les identifiants directs sont remplacés par des alias et ils ne permettent qu’une identification indirecte de la personne concernée et ce, uniquement pas les personnes en possession de la clé d’association de l’alias au renseignement personnel (un alias ou un numéro de référence ou un code).
Renseignements personnels : désigne tout renseignement qui concerne une personne physique et permet de l'identifier directement ou indirectement, c’est-à-dire qui révèle de manière directe ou indirecte ou par référence, quelque chose sur l’identité, les caractéristiques, les activités, l’emplacement ou d’autres informations identifiables de cette personne, et ce quelle que soit la nature du support et quelle que soit la forme sous laquelle ces renseignements sont accessibles (écrite, graphique, sonore, visuelle, informatisée ou autre). Cela inclut dans tous les cas, un Renseignement personnel sensible.
Renseignements personnels sensibles : renseignement personnel qui, par sa nature ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable de protection de la part de la personne concernée (par exemple, des renseignements médicaux, biométriques, génétiques ou financiers, ou encore de renseignements sur la vie ou l’orientation sexuelle, les convictions religieuses ou philosophiques, l’appartenance syndicale ou bien l’origine ethnique).
Renseignements publics : certains renseignements permettant d’identifier directement des personnes sont publics. Les renseignements concernant l’exercice d’une fonction d’une personne au sein d’une entreprise ou d’un organisme public sont publics et ne sont pas soumis aux lois protégeant les renseignements personnels, dont :
• le nom ;
• le titre ;
• la fonction ;
• le courriel, l’adresse et le numéro de téléphone de son lieu de travail.
Renseignements de santé ou de services sociaux : désigne tout renseignement concernant l’état de santé physique ou mentale d’une personne et ses facteurs déterminants. Ceci comprend également les antécédents médicaux ou familiaux de la personne, de même que tout matériel prélevé sur la personne dans le cadre d’une évaluation ou d’un traitement. Sont également considérés les services de santé ou les services sociaux offerts à la personne, notamment leur nature, résultat, lieu(x) où ils ont été offert(s) ainsi que l’identité des personnes qui les a offertes.
De plus, un renseignement permettant l’identification d’une personne tels que son nom, sa date de naissance, ses coordonnées ou son no d’assurance maladie est un renseignement de santé et de service sociaux lorsqu’il est accolé à un renseignement concernant l’état de santé physique ou mentale d’une personne et ses facteurs déterminants. Ceci comprend également les antécédents médicaux ou familiaux de la personne. Il en est de même s’il est recueilli en vue de l’enregistrement, de l’inscription ou de l’admission de la personne concernée dans un établissement ou de sa prise en charge par un autre organisme du secteur des services sociaux.
Responsable de la protection des renseignements personnels : La personne désignée pour s’assurer de la protection de la vie privée au sein de la Résidence (RPRP).
Troncation : La troncation consiste à raccourcir les données, par exemple en utilisant uniquement les trois premières lettres du nom d’un client plutôt que le nom complet.
Utilisation d’outils de chiffrement : Le chiffrement peut être utilisé pour rendre les données illisibles sans la clé de déchiffrement appropriée. Cependant, cela peut ne pas être suffisant pour l’anonymisation complète, car la réidentification reste possible si la clé est compromise.
Principes généraux
La Loi sur le secteur privé du Québec et la Loi 25 ainsi que certains contrats avec lesquels la Résidence est liée nous obligent à nous conformer aux principes généraux suivants :
Responsabilisation et gouvernance
La Résidence est responsable de la protection des Renseignements personnels qu’elle détient, utilise, communique, conserve ou détruit. C’est pourquoi elle :
• désigne un RPRP;
• établit et met en œuvre des politiques et des pratiques encadrant sa gouvernance à l’égard des Renseignements personnels;
• établit un processus de réponse aux demandes d'accès et de rectification qui lui sont transmises;
• publie sur son site Web son Programme de gouvernance de l’information;
• établit un processus de gestion des incidents de confidentialité; elle avisera d’ailleurs la Commission d’accès à l’information et les personnes concernées de tout Incident de confidentialité dans le cas où il peut en découler un préjudice sérieux pour ces dernières.
Consentement
Les Renseignements personnels ne doivent être collectés et traités qu’aux fins légitimes et nécessaires pour lesquelles ils ont été initialement recueillis. Aussi, avant de recueillir, d’utiliser ou de communiquer des Renseignements personnels, la Résidence doit obtenir un consentement valable de la part de la personne concernée. C’est pourquoi nous recueillons ce consentement de manière explicite, sous réserve de situations où le consentement peut être implicite en vertu de la loi. Il doit cependant être donné de manière expresse s’il concerne des Renseignements personnels sensibles.
Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé.
Pour utiliser les Renseignements personnels à une fin secondaire ou autre, il est nécessaire d’obtenir un consentement additionnel. Ce dernier sera énoncé ou rédigé de façon simple et claire et inclure :
• la fin initiale pour laquelle les renseignements ont été recueillis;
• la ou les nouvelles fin(s) visée(s) (ou les fins secondaires);
• la raison du changement de fin(s).
Une preuve que le consentement a été valablement obtenu est conservée par la Résidence.
Le RPRP est responsable du respect des règles concernant l’obtention du consentement de façon légale et appropriée.
Équité et légalité
Les Renseignements personnels doivent être traités par des moyens équitables et légaux tout au long de leur cycle de vie.
C’est pourquoi nous formons et sensibilisons de façon récurrente nos employés à l’égard des politiques et des pratiques de gestion des Renseignements personnels de la Résidence. Elles sont rédigées en termes simples et clairs pour en faciliter la compréhension et sont faciles d’accès pour nos employés comme pour nos clients.
Transparence
La Résidence doit faire preuve de transparence et voir à informer ses résidents et ses employés des politiques et des pratiques de gestion des Renseignements.
C’est ainsi qu’avant de recueillir ou au moment de recueillir des Renseignements personnels, nous vous mentionnons les informations minimales suivantes :
• Les fins légitimes auxquelles ces Renseignements sont recueillis;
• Les moyens par lesquels les Renseignements sont recueillis;
• Vos droits d’accès et de rectification prévus par la loi;
• Votre droit de retirer votre consentement à la communication ou à l’utilisation de ces renseignements;
• Le nom du tiers pour qui la collecte est faite, le cas échéant;
• La possibilité que les Renseignements soient communiqués à l’extérieur du Québec, le cas échéant.
• La possibilité que les renseignements soient communiqués à des fournisseurs de services, incluant des organisations affiliées, le cas échéant, ou à d’autres tiers similaires;
• La durée de conservation des renseignements de santé et de services sociaux;
• Les coordonnées du RPRP.
Les informations mentionnées précédemment doivent être communiquées à la personne concernée seulement une fois au cours d’un même épisode de prestation de soins.
De plus, en tout temps et sur demande de votre part, nous vous communiquerons des informations additionnelles comprenant:
• Les Renseignements personnels que vous nous avez communiqués;
• Les catégories de personnes qui ont accès à ces Renseignements personnels au sein de la Résidence;
• La durée de conservation des Renseignements personnels;
• Les coordonnées de la personne Responsable de la protection des renseignements personnels.
Déterminer les fins de la collecte et de l’utilisation
Les Renseignements personnels doivent être recueillis et utilisés à des fins spécifiques, explicites et légitimes, c’est-à-dire directement liées et manifestement nécessaires à la réalisation des Activités de traitement pour lesquelles ils ont été communiqués. Ces fins sont établies avant la collecte et l’utilisation des Renseignements personnels, qui ne doivent pas être effectuées d’une manière incompatible avec ces fins établies, sous réserve du consentement obtenu. La Résidence doit faire preuve d’honnêteté et de transparence au sujet des raisons pour lesquelles elle recueille des Renseignements personnels et il est important que tous comprennent bien ce que nous en ferons.
Exactitude et rectification
Les Renseignements doivent être à jour et exacts au moment où nous les utilisons pour prendre une décision. Nous visons à sauvegarder l’intégrité de l’information, tant dans son fond que sa forme, et à nous assurer que personne ne subit de préjudice si un Renseignement devait être inexact ou désuet. Nous prenons des mesures raisonnables et adoptons les meilleures pratiques pour que les Renseignements personnels soient maintenus à jour et qu’ils soient ou rectifiés s’ils doivent l’être ou effacés lorsque devenus inutiles.
Conservation et anonymisation
Les Renseignements ne sont conservés que pour la durée nécessaire à la réalisation des fins pour lesquelles ils ont été recueillis. Lorsque ces fins sont accomplies, nous devons détruire les Renseignements personnels. La Résidence peut également Anonymiser les Renseignements personnels, selon les meilleures pratiques généralement reconnues, pour utiliser les Renseignements anonymisés à des fins sérieuses et légitimes seulement.
Il est possible que certaines lois spécifient une période de conservation que la Résidence sera tenue de respecter.
Sécurité et confidentialité
Nous avons l’obligation de mettre en place des mesures de sécurité raisonnables propres à assurer la protection des Renseignements personnels détenus, utilisés, communiqués, conservés contre la perte, le vol ou tout accès, communication, copie, utilisation, traitement, modification ou destruction non autorisé ou abusif.
Ces mesures de sécurité tiennent compte notamment du degré de sensibilité des Renseignements personnels visés, de la finalité de leur utilisation, de leur quantité, de leur répartition, de leur méthode de conservation, de leur support et de leur format ainsi que des risques liés au respect de la vie privée.
Des mesures de sécurité adéquates qui comprennent plusieurs couches de sécurité incluant, sans s’y limiter, des moyens techniques, matériels, organisationnels et administratifs ont été implantées au sein de la Résidence.
Restriction d’accès (art. 7 et 8, Loi 5)
L'accès aux Renseignements de santé et de services sociaux peut être restreint par la personne concernée. Cette dernière peut déterminer qu’un intervenant particulier ou qui appartient à une catégorie d’intervenants ne peut avoir accès à un ou plusieurs renseignements qu’elle identifie.
Elle peut également refuser qu’un renseignement la concernant, présent ou à venir, soit accessible à certaines personnes à compter du moment que les Renseignements de santé et de services sociaux sont détenus par la Résidence. Les personnes à qui cet accès peut être restreint sont :
• Son conjoint, son ascendant direct ou son descendant direct s’il s’agit d’un Renseignement relatif à la cause de son décès;
• Un chercheur, si l’accès envisagé est à des fins de sollicitation en vue de sa participation à un projet de recherche;
• Un chercheur qui n’est pas lié à la Résidence ou à un établissement public ou privé conventionné qui exploite un centre hospitalier.
En tout temps, ce désir de restreindre ou d’interdire l’accès doit être fait de façon expresse, sans ambiguïté et non équivoque.
La Résidence a nommé Carole Boivin pour servir à titre de responsable à communiquer avec toute personne qui formule une demande de restriction d’accès aux Renseignements de santé et de services sociaux visée par l’article 4.9 de la présente Politique. Cette personne responsable devra notamment aviser toute personne qui formule une telle demande des conséquences possibles et risques associés à l’exercice d’un tel droit de restriction.
Finalités de Traitement légitimes des renseignements concernant les employés
La Résidence peut utiliser les Renseignements personnels de ses employés pour des fins légitimes, dont certaines sont décrites ci-dessous :
Gestion des ressources humaines
Pour nous permettre de gérer les ressources humaines, notamment en ce qui concerne de nombreux processus : recrutement, exécution d'un contrat de travail, cessation d'emploi, gestion des performances, formation des employés, rémunération et avantages sociaux, services divers aux employés, santé et sécurité au travail, invalidité et processus de retour au travail, ainsi que toute autre activité de ressources humaines.
L’employé qui fournit des Renseignements personnels consent implicitement à leur collecte et à leur utilisation par l’Employeur. La Résidence peut traiter les Renseignements personnels de ses employés sans renouveler ce consentement tant que l’employé est à son emploi, car à titre d’employeur, la Résidence a une obligation légitime de recueillir les Renseignements personnels de ses employés pour gérer sainement et efficacement ses activités. Toutefois, les besoins d'information de la Résidence doivent être compatibles au droit des employés à la protection de leurs Renseignements personnels.
Autres activités
Pour nous permettre de réaliser nos activités et opérations commerciales, telles que la gestion des actifs de la Résidence, la prestation de services informatiques ou web, la sécurité de l'information, la réalisation d'audits et d'enquêtes internes, le respect des obligations de ses contrats commerciaux, obtenir des conseils juridiques ou commerciaux, la préparation de litiges juridiques, etc.
Conformité avec la loi
Pour nous permettre de nous conformer aux obligations légales et à toute autre fin requise par la loi, incluant celle de divulguer des Renseignements personnels des employés aux autorités fiscales compétentes.
Intégration de la protection des Renseignements personnels aux activités commerciales
En application des principes généraux énoncés ci-dessus, la Résidence intègre les pratiques décrites ci-dessous tout au long du cycle de vie des Renseignements personnels dans ses opérations et activités commerciales.
Collecte de Renseignements personnels
Lorsque nous collectons des Renseignements personnels, c’est d’abord directement auprès de la personne concernée nous les recueillons, après avoir mentionné l’information prévue à l’article 4.5.
La Résidence reçoit aussi des Renseignements personnels et des Renseignements de santé ou de services sociaux concernant notre clientèle auprès de tiers, tels que ses représentants ou proches. Dans ces cas, la personne Responsable de la protection des renseignements personnels doit s’assurer que la collecte est autorisée par la loi et qu’elle respecte les politiques et pratiques de la Résidence à ce sujet.
En tout temps, nous limitons la collecte des Renseignements personnels à ce qui est nécessaire pour les fins déterminées qui ont été mentionnées.
Collecte de Renseignements personnels des employés
Lorsque nous recueillons des Renseignements personnels des employés, cette collecte doit se limiter aux Renseignements personnels qui sont strictement nécessaires à la réalisation des fins prévues telles que celles énoncées à l’article 4.5.
Si des Renseignements personnels d’un candidat à un emploi sont recueillis auprès de tiers, nous nous assurons que la collecte est effectuée par des moyens légitimes et légaux dans le respect des lois, des politiques et pratiques de la Résidence.
Utilisation, conservation et destruction
Les objectifs, les méthodes, la période de conservation et les limites de stockage des Renseignements personnels sont conformes aux informations contenues dans la Politique sur la gestion intégrée des documents.
C’est le RPRP qui doit procéder à une vérification annuelle des Renseignements personnels collectés et traités et construire un Registre des Renseignements personnels décrivant les renseignements utilisés au sein des documents produits par la Résidence, les fins pour lesquelles ces renseignements ont été produits, les délais de conservation de ces documents et des renseignements qu’ils contiennent ainsi que les droits d’accès relatifs à chacun de ces documents.
Puisque nous devons maintenir l'exactitude, l'intégrité, la confidentialité et la pertinence des Renseignements personnels en fonction de la finalité du Traitement et de plus, ne les conserver que pour le temps dont nous en avons besoin à ces fins, nous avons mis en place des mécanismes de sécurité raisonnables et adéquats pour empêcher le vol, l'utilisation abusive ou frauduleuse des Renseignements personnels et prévenir les Incidents de confidentialité.
C’est pourquoi nous nous assurons également que les Renseignements personnels en notre possession ne sont ni détruits ni modifiés illégalement et nous nous engageons également à ne pas vendre ou fournir les Renseignements personnels à un tiers de manière illégale ou sans en obtenir l’autorisation. Nous effectuons des audits régulièrement pour nous en assurer.
Utilisation, conservation et destruction des Renseignements personnels des employés
Pour la presque totalité des Renseignements personnels des employés, y compris les dossiers relatifs à la paie et aux avantages sociaux, les dossiers personnels officiels et officieux, les enregistrements de navigation sur Internet, le courrier électronique et les pistes d’audit, les règles fondamentales suivantes sont respectées afin de maintenir un équilibre entre les droits de la Résidence et ceux des employés :
• Nous ne traitons les Renseignements personnels des employés qu'aux seules fins pour lesquelles ceux-ci ont été recueillis et ne conservons ces derniers que pour le temps dont nous en avons besoin, sauf si nous avons obtenu le consentement de l'employé concerné pour les utiliser à d'autres fins ou si nous devons, en vertu des lois applicables, utiliser ou communiquer les Renseignements personnels de l’employé à d'autres fins comme à la demande d’autorités de réglementation.
• Nous avons également mis en place des mesures de sécurité raisonnables propres à assurer la protection des Renseignements personnels de nos employés contre la perte, le vol ou tout accès, communication, copie, utilisation, traitement, modification ou destruction non autorisé ou abusif. Ces mesures de sécurité, ici aussi, comprennent plusieurs couches de sécurité dont des moyens techniques, matériels, organisationnels et administratifs permettant d’assurer la gestion des risques, des incidents et la continuité des activités.
• Pour ces Renseignements personnels, nous nous assurons également de ne pas détruire ou modifier illégalement les Renseignements personnels et nous nous engageons à ne pas vendre ou fournir les Renseignements personnels des employés à un tiers de manière illégale ou sans autorisation.
Divulgation à des tiers
Avant de transférer des Renseignements personnels à un fournisseur de services ou un partenaire commercial, le RPRP doit, à chaque fois, conclure un contrat écrit avec ce tiers, comme l’Entente relative à la sécurité de l’information concernant le Traitement des Renseignements personnels par un fournisseur de services. Certaines clauses doivent nécessairement se retrouver à ce contrat telles que :
• La description des mesures prises par le fournisseur de services pour assurer la protection du caractère confidentiel des Renseignements personnels communiqués (ex. une description des mesures de sécurité);
• L’engagement, par le fournisseur de services, de n’utiliser les Renseignements personnels qu’aux fins de la prestation des services et de ne pas conserver ces renseignements après l’expiration du contrat; et
• L’obligation, pour le fournisseur de services, de nous informer sans délai de toute violation ou tentative de violation de la confidentialité des renseignements afin de nous permettre d’effectuer toute enquête ou vérification relative à cette violation.
À cette fin, le « Questionnaire de conformité à l’attention des sous-traitants » doit être utilisé. Une fois le formulaire rempli et retourné à l’attention du RPRP, il analyse les risques relatifs à la divulgation de Renseignements personnels. Sur la base de cette analyse, le Responsable de la protection des renseignements personnels doit s’assurer que le fournisseur de services implante au sein de son entreprise un programme de gouvernance qui respectera le Programme de gouvernance de la Résidence et le tiers devra également s’engager à conclure une Entente relative à la sécurité de l’information.
Communication des renseignements de santé et de services sociaux
En vertu des dispositions applicables de la Loi 5, la Résidence a l’obligation de tenir un registre pour chaque communication de renseignements de santé et de services sociaux qui est effectuée. Cette obligation ne s’applique toutefois pas pour les communications qui sont faites à la personne concernée ou à certaines personnes qui lui sont liées. Le registre qui figure au document 4.02 sera utilisé pour ces fins. Ce registre doit être utilisé par la Résidence pour chaque communication qui y est visée.
L’obligation de conserver ce registre sera toutefois abolie dès que l’obligation de journaliser l’ensemble des accès, utilisations et communications des renseignements de santé et de services sociaux entrera en vigueur.
Divulgation requise à des fins de sécurité
La Résidence peut, le cas échéant, divulguer des informations en sa possession dans le but de protéger une personne ou un groupe de personnes identifiables lorsque la Résidence a des motifs raisonnables de croire qu'un risque de préjudice grave, de décès ou de blessure corporelle grave (y compris toute blessure psychologique ou physique susceptible de porter atteinte de manière significative à l'intégrité physique, au bien-être ou à la santé de la personne concernée) menace cette personne ou ce groupe.
La Résidence peut également, le cas échéant, communiquer des informations à toute force de police et au Directeur des poursuites criminelles et pénales lorsqu'elle a des raisons de croire qu'une infraction à la loi est commise ou risque de l'être.
Divulgation dans le cadre d’une transaction commerciale
Si la divulgation de Renseignements personnels est nécessaire dans le cadre d’une transaction commerciale, le RPRP doit, à chaque fois, conclure une entente écrite avec les parties à la transaction qui prévoit notamment que la partie recevant communication des Renseignements personnels s’engage à :
• N’utiliser ces renseignements qu'aux seules fins de la conclusion de la transaction;
• Ne pas communiquer ces renseignements sans avoir obtenu le consentement des individus concernés;
• Prendre les mesures nécessaires pour assurer la protection du caractère confidentiel de ces Renseignements personnels; et
• Détruire ces Renseignements personnels si la transaction n'est pas conclue ou si leur utilisation n'est plus nécessaire aux fins de sa conclusion.
C’est pourquoi nous nous assurons d’obtenir un Engagement relatif à la sécurité de l’information de la part de contractants.
Transfert à l’extérieur du Québec
Si des Renseignements personnels sont communiqués à l’extérieur du Québec, une Évaluation des facteurs relatifs à la vie privée (ÉFVP) sera effectuée. Elle prendra en compte les éléments prévus à la loi pour nous assurer que les Renseignements bénéficieront d’une protection adéquate et suffisante chez le récipiendaire des Renseignements.
Droit d’accès et rectification
En tout temps, toute personne bénéficie d’un accès gratuit (ou à un prix modique pour obtenir des reproductions) à ses Renseignements personnels. Elle peut également faire corriger ou mettre à jour les renseignements inexacts, sous réserve des exceptions prévues par la loi. Ces demandes sont traitées dans un délai de 30 jours et sont inscrites au Registre des demandes d’accès et de rectifications. Si une demande d’accès est refusée, le RPRP y répond par écrit et explique les raisons de ce refus.
Toute demande d’accès ou de rectification à un Renseignement personnel ou un Renseignement de santé ou de services sociaux doit obligatoirement être fait par écrit et soumis à la personne Responsable de la protection des renseignements personnels de la Résidence.
Toutefois, lorsqu’en vertu de l’avis d’un professionnel de la santé ou des services sociaux, il est jugé que l’accès aux Renseignements de la santé et de services sociaux pourrait causer un préjudice grave pour la santé de la personne concernée, ce droit peut lui être refusé momentanément. La Résidence a alors l’obligation de documenter les motifs justifiant cette décision et avec mention du moment où le droit pourra être exercé de nouveau par la personne concernée.
Lorsqu’elle répond à une demande d’accès, la Résidence doit d’abord s’assurer de vérifier l’identité de la personne qui fait la demande avant de lui transmettre or de lui communiquer des Renseignements personnels.
Droit d’accès relativement à la communication des renseignements de santé et de services sociaux
Le droit d’accès aux diverses communications des renseignements de santé et de services sociaux à des personnes autres que la personne concernée ou des personnes qui lui sont liées, se fait par la consultation du registre en ce sens qui se trouve dans le document 4.02.
Une personne décédée
Un(e) conjoint(e), un parent et l’enfant d’une personne décédée a le droit d’être informé de l’existence d’un renseignement relatif à la cause de son décès, et d’y avoir accès. Toutefois, si la personne a refusé l’accès à ce renseignement à la personne en question, l’accès ne peut être octroyé.
Les personnes suivantes ont le droit d’être informées de l’existence d’un renseignement concernant le défunt et d’y avoir accès à la condition que ce soit nécessaire à l’exercice de ses droits et obligations à ce titre :
• L’héritier;
• Le successible;
• Le légataire particulier;
• Le liquidateur d’une succession;
• Une personne désignée à titre de bénéficiaire d’une assurance-vie ou d’une indemnité de décès.
Une personne liée génétiquement au défunt peut également être informée de l’existence d’un renseignement concernant le défunt et d’y avoir accès à la condition que cela soit nécessaire pour vérifier l’existence d’une maladie génétique ou à caractère familial.
Droit de restreindre et refuser l’accès
Toute personne peut demander que l’accès à ses renseignements de la santé et des services sociaux soit restreint ou refusé à un intervenant en particulier ou un groupe d’intervenants. Ce droit ne peut être outrepassé qu’en cas de risque à la vie ou l’intégrité physique de la personne concernée.
Toute personne peut également exiger la restriction d’accès à ses renseignements de la santé et des services sociaux. La restriction d’accès peut être applicable aux personnes et situations suivantes :
• À son conjoint, ses ascendants et ses descendants s’il s’agit d’un renseignement relatif à la cause de son décès; et
• A un chercheur si l’accès envisagé est à des fins de sollicitation en vue de sa participation à un projet de recherche.
Droit à la portabilité
Toute personne peut demander que les Renseignements personnels recueillis à son sujet soient communiqués ou transférés à une autre organisation désignée, dans un format technologique et couramment utilisé. Ceci exclut les renseignements créés ou inférés par la Résidence à partir de l’analyse de vos Renseignements personnels. Après le transfert, nous ne sommes pas tenus de détruire les Renseignements personnels traités dans cette demande.
Droit à la désindexation (droit à l’oubli)
Toute personne peut, sous réserve de certaines conditions, nous demander de cesser de diffuser des Renseignements personnels la concernant ou de désindexer tout hyperlien rattaché à son nom qui donne accès à ces Renseignements personnels si cette diffusion lui cause un préjudice ou contrevient à la loi ou à une ordonnance judiciaire. Si ces Renseignements sont ainsi utilisés par un mandataire, nous verrons à lui demander de procéder de cesser de diffuser ou de procéder à la désindexation.
Organisation et gouvernance
La responsabilité de garantir la protection et le Traitement adéquat des Renseignements personnels incombe à la Résidence et à toute personne qui travaille avec ou pour le compte de la Résidence et qui a accès aux Renseignements personnels.
Les principales responsabilités en matière de gouvernance et de gestion des Renseignements personnels relèvent des rôles organisationnels suivants :
Le RPRP est responsable des tâches suivantes:
• Gérer et mettre en œuvre le Programme de gouvernance de l’information;
• Développer et promouvoir les politiques et les pratiques de la Résidence en matière de protection des Renseignements personnels;
• Surveiller et analyser les lois sur la vie privée applicables ainsi que les changements qui sont envisagés ou apportés par le législateur;
• Élaborer et maintenir à jour les exigences de conformité que la Résidence doit respecter et aider celle-ci à atteindre ses objectifs en matière de protection des Renseignements personnels.
De plus, la Résidence s’est dotée d’un Comité de gestion intégrée des documents, de sécurité et de gouvernance veillant à la bonne marche des opérations dans le respect de la confidentialité des Renseignements personnels. Ce comité a des tâches bien définies détaillées dans un document expliquant ces diverses tâches, accessible sur demande.
Signalement d’incidents de confidentialité et réponse aux plaintes
Toute personne physique dont les renseignements personnels sont concernés par un Incident de confidentialité réel ou appréhendé peut formuler une plainte au Responsable de la protection des renseignements personnels, laquelle sera traitée conformément à la Procédure de réponse et de notification en cas de plainte et/ou d’incidents de confidentialité.
La Résidence doit aviser la Commission d’accès à l’information et les personnes concernées de tout Incident de confidentialité qui présente un risque de préjudice sérieux compte tenu de la sensibilité des renseignements concernés, des conséquences appréhendées de leur utilisation et la probabilité qu’ils soient utilisés à des fins préjudiciables. Si l’incident de confidentialité à risque de préjudice sérieux concerne des renseignements de santé, le Ministre de la Santé et des Services sociaux doit également être avisé.
Audit
Le RPRP est chargé d'auditer la manière dont la Résidence met en œuvre la présente Politique.
Sanctions
Toute personne qui enfreint cette Politique fera l'objet d'une sanction disciplinaire et pourra également être soumise à des poursuites civiles ou pénales si sa conduite enfreint les lois ou les règlements applicables.
Conflits
La présente Politique vise à se conformer aux lois et règlements et aux ententes d’affaires qui s’appliquent à la Résidence dans le cadre de ses opérations et activités commerciales. En cas de conflit entre la présente Politique et les lois et règlements applicables, ces derniers prévaudront.
Autres membres du personnel
La Résidence doit également respecter et mettre en application la présente Politique lorsqu’elle exerce une Activité de traitement des Renseignements personnels des autres membres de son personnel, ce qui comprend notamment: (i) les personnes qui postulent auprès de la Résidence ou qui prenne part au processus de recrutement de la Résidence (ii) les anciens employés de la Résidence ainsi que (iii) les personnes non-employés qui travaillent dans les bureaux de la Résidence, dont les travailleurs autonomes, consultants, bénévoles et stagiaires.
Gestion documentaire
Nom du registre
Lieu de conservation
Personne responsable de la conservation
Mesures de protection en place
Période de rétention
Registre des consentements de la personne concernée
Ordinateur du bureau de la Résidence, Copie sur disques durs externes
RPRP
Seules les personnes autorisées peuvent accéder au registre et aux formulaires
10 ans
Registre des Activités de traitement
Ordinateur du bureau de la Résidence, Copie sur disques durs externes
RPRP
Seules les personnes autorisées peuvent accéder au registre
Permanent
Registre des droits de la personne concernée
Ordinateur du bureau de la Résidence, Copie sur disques durs externes
RPRP
Seules les personnes autorisées peuvent accéder au registre
Permanent
Registre des Renseignements personnels
Ordinateur du bureau de la Résidence, Copie sur disques durs externes
RPRP
Seules les personnes autorisées peuvent accéder au registre
Permanent
Registre des communications
Ordinateur du bureau de la Résidence, Copie sur disques durs externes
RPRP
Seules les personnes autorisées peuvent accéder au registre
Permanent
Registre des avis de confidentialité
Ordinateur du bureau de la Résidence, Copie sur disques durs externes
RPRP
Seules les personnes autorisées peuvent accéder au registre
Permanent
Pour joindre la personne responsable de la protection des renseignements personnels (RPRP)
On peut contacter la personne responsable par écrit :
Par la poste :
Responsable de la protection des renseignements personnels
Villa Marieville
1180, rue du Pont
Marieville, Québec, J3M 1H1
Par courriel :
rprp.villamarieville@outlook.com
Validité
Ce document est entré en vigueur à compter du 10 février 2024.
Le propriétaire du présent document est Guy Caron, qui doit le vérifier et le mettre à jour au moins une fois par an.